Assurer la cybersécurité des dispositifs médicaux
Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux
Suite à des recherches sur Internet, je suis récemment allé sur le site de l'Hôpital Nord-Ouest. Une jolie page d'accueil temporaire indiquait que le site était en maintenance suite à "une cyber-attaque majeure".
Cette observation m'a fait penser à des échanges que j'ai pu avoir avec mes clients. J'ai ainsi réalisé que la cybersécurité, dans le cadre des dispositifs médicaux, n'est pas forcément une notion évidente.
Pour y pallier, je vous propose que nous traitions du sujet à l'occasion de cet article.
Qu'est-ce qu'un risque de cybersécurité ?
Suivant les définitions fournies par les normes EN ISO 14971 (Dispositifs médicaux – Application de la gestion des risques aux dispositifs médicaux) et CEI EN 62304 (Logiciels de dispositifs médicaux – Processus du cycle de vie du logiciel), la notion de sécurité recouvre la notion de cybersécurité (ou sûreté).
En effet,
- la sécurité fait référence à l'absence de risque inacceptable, indépendamment de l'objet du risque, et
- la cybersécurité (ou sûreté) désigne la protection des informations et des données.
Dans les faits, quand on traite de sécurité dans le cadre des dispositifs médicaux, on fait le plus souvent référence à la sécurité pour les personnes et, par voie de conséquence, on fait reposer l'estimation des risques du dispositif médical sur ce critère.
On peut donc considérer que les risques de sécurité se rapportent aux situations dangereuses susceptibles de faire que le dispositif médical génère une atteinte à la santé des personnes.
Quant aux risques de cybersécurité, ils se rapportent aux situations dangereuses susceptibles de faire que le dispositif médical porte atteinte ou permette de porter atteinte à l'intégrité, la confidentialité ou la disponibilité de données ou des informations.
Sur cette base, si une cyber-attaque du dispositif médical est uniquement susceptible de porter atteinte à la santé des personnes, il s'agira d'un risque de sécurité et pas d'un risque de cybersécurité du dispositif.
Pourquoi gérer les risques de cybersécurité des dispositifs médicaux ?
En l'absence de dispositifs médicaux connectés dans les centres de santé, les fabricants pouvaient se dire que leurs produits étaient prévus pour des infrastructures mises en place et maintenues par leurs clients.
Les structures d'accueil assumaient donc la responsabilité de protéger leur système d'information contre l'intrusion de tiers.
Mais l'arrivée sur le marché des dispositifs médicaux connectés a modifié la situation :
- les possibilités d'intrusion via les dispositifs médicaux se sont démultipliées et
- les organismes officiels ont rappelé que la réglementation prévoit la gestion des risques de cybersécurité dans les dispositifs médicaux.
Les logiciels (de) dispositifs médicaux peuvent faciliter l'intrusion de tiers dans le système d'information
Les cyber-attaques des centres de santé se sont multipliées ces dernières années. A titre d'exemple, on peut citer :
- le cas de l'Hôpital Nord-Ouest abordé en début d'article,
- le cas du groupement hospitalier des Hauts-de-France en avril 2021 ou encore
- le cas des hôpitaux de Paris pendant l'été 2020.
Par ailleurs, le dossier d'information sur la cybersécurité dans le secteur de la santé diffusé par l'ANS (Agence du Numérique en Santé) indique que 369 incidents de cybersécurité ont été déclarés par les établissements de santé en 2020.
Cette situation pose un problème de disponibilité des soins pour la population et parmi les causes identifiées figurent
- les dispositifs médicaux incorporant du logiciel (DMIL) et
- les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device").
En effet, les fonctionnalités qui caractérisent ces dispositifs médicaux (notamment l'interopérabilité et la communication requises pour aboutir aux soins du patient) introduisent dans les systèmes d'information des centres de santé des possibilités de connexions malveillantes.
La réglementation prévoit que les risques de cybersécurité des dispositifs médicaux soient maîtrisés
L'ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) l'a rappelé dans son projet de recommandations pour la cybersécurité des dispositifs médicaux : la réglementation applicable aux dispositifs médicaux prévoit des exigences relatives à la cybersécurité.
Cette position a été confirmée par le guide du MDCG (Medical Device Coordination Group) sur la cybersécurité des dispositifs médicaux et par l'ENISA (European Union Agency for Cybersecurity) via son guide sur les bonnes pratiques pour la cybersécurité dans les hôpitaux.
En effet, quand on considère le Règlement (UE) 2017/745 relatif aux dispositifs médicaux (DM), on remarque que l'article 14.2 de son annexe I précise que
Les dispositifs sont conçus et fabriqués de manière à éliminer ou à réduire autant que possible […] tout risque associé à une éventuelle interaction négative entre les logiciels et l'environnement informatique dans lequel ceux-ci fonctionnement et avec lequel ils interagissent
Source : Règlement (UE) 2017/745, Annexe I, article 14.2
et que l'article 14.5 de cette même annexe indique que
Les dispositifs qui sont destinés à être mis en œuvre avec d'autres dispositifs ou produits sont conçus et fabriqués de manière à ce que leur interopérabilité et leur compatibilité soient fiables et sûres.
Source : Règlement (UE) 2017/745, Annexe I, article 14.5
Bien que cette liste ne soit pas exhaustive, elle montre que la cybersécurité est un besoin effectivement pris en compte par les exigences de la réglementation applicable aux dispositifs médicaux.
Mettre en œuvre la gestion des risques de cybersécurité des dispositifs médicaux
Les dispositifs médicaux incorporant du logiciel (DMIL) et les logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device") présentent des risques de sécurité et des risques de cybersécurité.
Quand on considère ces deux types de risques on remarque une différence fondamentale :
- les risques de sécurité sont en rapport avec les personnes alors que
- les risques de cybersécurité sont en rapport avec les données et les informations.
De ce fait, il est nécessaire de prévoir deux processus distincts pour pouvoir évaluer de façon adéquate ces deux types de risques.
Ces deux processus présentent des similarités car les exigences des normes EN ISO 14971 et CEI EN 62304 sont applicables dans les deux cas de figure.
De plus, ces processus sont communicants. En effet, la maîtrise des risques de sécurité peut induire des risques de cybersécurité et réciproquement.
Enfin, quand on considère un dispositif médical donné, une même situation peut présenter des risques pour la sécurité et des risques pour la cybersécurité du dispositif.
La figure ci-dessous représente schématiquement le déroulement de ces deux processus.
Par ailleurs, pour assurer la conformité avec la dernière version de la norme EN ISO 14971, il faudra traiter la cybersécurité dans la politique du fabricant pour l'établissement des critères d'acceptabilité des risques.
Implications pour les fabricants de dispositifs médicaux
La gestion des risques de cybersécurité d'un dispositif médical est un processus hautement technique : la majeure partie des mesures de maîtrise à mettre en œuvre concerne la conception et l'implémentation du logiciel. Il faut donc choisir parmi les options possibles en fonction de leur complexité de mise en œuvre et eu égard à leur efficacité.
De ce fait, tenir compte de la cybersécurité est nécessaire dès le début du projet de conception et le développement du logiciel (de) dispositif médical.
Cette mise en œuvre est d'autant plus importante que les organismes officiels poussent en ce sens.
Ainsi, l'ENISA, dans son guide de bonnes pratiques pour la cybersécurité dans les hôpitaux, incite ces derniers à demander à leurs fournisseurs des justificatifs de cybersécurité de leurs produits.
De plus, dans l'actualité récente, des poursuites contre des fabricants de logiciels de santé qui ne prenaient pas de précautions pour la cybersécurité de leurs produits ont commencé à se faire jour.
C'est par exemple le cas de la société Francetest qui a fait la une des journaux en août 2021.
Pour en savoir plus
Le MDCG a rédigé un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne.
Les systèmes d'exploitation jouent un rôle important dans le cadre de la cybersécurité des dispositifs médicaux.